Académique Documents
Professionnel Documents
Culture Documents
Techniques de l’Ingénieur
l’expertise technique et scientifique de référence
ag1585
Étude systémique de l'analyse de risques -
Présentation d'une approche globale
Par :
Audrey DASSENS
Docteur de l'université de Haute Alsace, Laboratoire de Gestion des risques et environnement, Mulhouse
Richard LAUNAY
Ingénieur CEA, Saclay
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite. © Editions T.I.
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
survenance peut s’avérer improbable, comme par exemple pour les attentats
du 11 septembre 2001 à New York, ou encore l’explosion de l’usine d’AZF le
21 septembre 2001. Le passé ne peut donc plus seulement servir de base de
connaissance pour l’analyse des risques. Il faut recourir à des approches qui
puissent permettre d’anticiper des phénomènes qui ne se sont encore jamais
produits.
En plus des analyses de risques a posteriori, les décideurs ont à leur disposi-
tion des méthodes d’analyse de risques a priori. Ces dernières permettent, à
travers l’étude des systèmes, d’identifier les principaux scénarii d’accident pro-
bables. Les résultats de ces études permettent de hiérarchiser les risques et
facilitent la mise en place des moyens de protection et/ou de prévention néces-
saires à la maîtrise des risques.
Or, aujourd’hui, les experts s’interrogent sur les méthodes usuelles d’analyse
de risques a priori. Elles ne permettent plus, au regard des conclusions de
celles réalisées a posteriori, de réaliser des analyses poussées et suffisamment
fines ou complètes des systèmes industriels complexes dont ils ont la charge.
Malgré un ensemble de méthodes et d’outils disponibles dans le domaine de
la sécurité, nous déplorons toujours de nombreux accidents industriels,
comme en témoigne notamment la base Aria du Barpi.
Au-delà d’une vision toute théorique sur les capacités intrinsèques des sys-
tèmes complexes à déjouer les barrières mises en œuvre pour les stopper, il
est évident que le « préventeur » ne peut se résoudre à ce que les accidents se
produisent. Et ceci, d’autant plus que la société semble de plus en plus
« averse » aux risques subis, ce qui se traduit par des attentes importantes en
matière de responsabilité sociale des entreprises. Nous chercherons donc à
comprendre, à travers ce dossier, pourquoi les préventeurs à partir des outils
actuels mis à leur disposition ont des difficultés à mettre en œuvre des politi-
ques de gestion des risques efficientes conduisant à des résultats pertinents.
Ces insuffisances engendrent des insatisfactions, les parties prenantes internes
et externes à l’entreprise critiquent bien souvent la vision des experts internes
à l’entreprise et mettent en doute la validité des résultats obtenus. Mais,
au-delà de cette remise en cause externe, il est regrettable que les méthodes
mises en œuvre confortent chaque acteur dans un cloisonnement tout à fait
dommageable au rendu.
Ainsi, avant de présenter une nouvelle méthode d’analyse globale de ris-
ques, nous évoquerons les raisons qui nous ont poussés à en proposer une.
Viendra ensuite la présentation proprement dite de notre méthode. Elle
constitue une approche globale de l’analyse a priori des risques en entreprise
qui s’inspire largement des concepts de la Systémique. Enfin, le dossier se ter-
minera par une illustration de la méthode autour de l’accident de la navette
Challenger.
Nous présenterons, dans un premier temps, pourquoi l’entre- Le Petit Robert définit l’entreprise comme : « une organisa-
prise entendue comme système peut être qualifiée de complexe. tion autonome de production de biens ou de services
Cette complexité des systèmes industriels peut être à l’origine marchands ». Il est possible de préciser que c’est : « une
d’accidents aux causes multiples et conséquences variées qui combinaison dynamique de ressources, organisée pour
dépassent les seules frontières de l’entreprise. Ceci sera expliqué atteindre ou maintenir des objectifs dont les principaux sont :
dans un second temps. créer de la valeur, croître et maintenir l’emploi » [1].
Pour éviter que de tels accidents ne se produisent, les décideurs
mettent en œuvre des politiques de gestion des risques fondées Elle a deux fonctions ou missions [2] :
sur des méthodes d’analyse de risques a priori que nous rappel- – la première, au niveau individuel, relative à la production de
lerons dans une troisième partie. Nous montrerons que l’architec- biens ou de produits pour satisfaire les besoins des individus ;
ture de ces méthodes, basée sur un modèle cartésien, est mal – la seconde, au niveau de la société, relative à la création de
adaptée à l’analyse des phénomènes et systèmes complexes richesse qui consiste à générer par sa croissance propre un sur-
actuels. plus de valeur monétaire, en partie réinjecté dans les circuits éco-
Dans une quatrième partie, nous expliquerons comment la vision nomiques et contribuant à l’élévation du niveau de vie de la
systémique peut permettre une approche globale des systèmes et population d’un pays.
tendre vers un décloisonnement des acteurs nécessaire pour la Les hommes, la technologie, les marchés, les ressources finan-
mise en œuvre d’analyse de risques a priori. cières, les informations et les ressources commerciales sont des
données fondamentales pour l’entreprise [3]. Ce sont l’ensemble graphique, les infrastructures routières avoisinantes), les autres
des éléments qu’elle doit protéger si elle veut atteindre ses objectifs. entreprises, les contextes sociaux, économiques et politiques (tels
C’est une organisation socio-technico-économique qu’il n’est pas que la population avoisinante, les clients, les fournisseurs, la régle-
possible de réduire à un seul de ces aspects. Son équilibre, sa survie mentation en vigueur...) ;
et même son comportement vont dépendre du résultat de nom- – sa finalité (satisfaire les besoins de ses clients et créer de la
breux rapports de forces et de pouvoirs, aussi bien en interne, qu’en richesse) : les objectifs poursuivis par l’entreprise qui sont détermi-
externe. nés en fonction des attentes et besoins de l’ensemble de ses par-
ties intéressées (« ...une personne, communauté ou organisation
1.1.2 « Entreprise », un système complexe influant sur les opérations de l’entreprise ou concernée par
celle-ci...» [6] ;
– son activité (produire des biens ou des services) : c’est
Un système est défini comme un : « ...ensemble d’éléments l’ensemble des comportements de l’entreprise, les règles d’action
en interaction dynamique, organisés en fonction d’un et de production ;
but... » [2]. L’entreprise peut être considérée comme un sys-
tème car elle répond à cette définition. – sa structure : à la fois fonctionnelle (ses différents services ou
départements) et hiérarchiques (ses différentes catégories de sala-
riés, tels que les directeurs, les cadres, les agents de maîtrise et les
■ Les éléments doivent être compris comme les parties, les ouvriers) ;
constituants. Ils peuvent être eux-mêmes des ensembles d’autres
– son évolution (elle naît, elle croît, se développe, arrive à matu-
éléments, notamment des hommes et des machines.
ration et meurt) : c’est l’histoire et le devenir de l’entreprise.
L’entreprise est composée de divers éléments appelés les
« facteurs de production » [2] : ■ Un système complexe est constitué d’un ensemble d’éléments
– le travail (l’énergie fournie par les salariés) ; qui fait émerger de nouvelles propriétés ne se trouvant pas dans
les éléments eux-mêmes. Le système est alors doté de qualités
– le capital (les ressources financières et les équipements de
inconnues au niveau des simples éléments, c’est ce qui est traduit
production) ;
par la phrase : « le tout est plus que la somme des parties » ([7]
– l’énergie et les matériaux (combustibles, électricité, eau,
[8]). L’entreprise peut donc être qualifiée de système complexe car
matières premières, produits semi-finis...) ;
elle répond aux caractéristiques suivantes ([2] [9] [10] [29]) :
– les informations (le savoir-faire, les brevets, les licences, les
biens immatériels...). – ouvert : en effet, l’entreprise pratique de nombreux échanges
avec son environnement, elle y puise ses ressources (capitaux,
■ Les interactions qu’entretiennent ces éléments entre eux peuvent personnel, énergie, matières premières...), ce sont les flux entrants
être de natures diverses. À partir d’informations reçues, les tra- du système. L’environnement agit également sur l’entreprise sous
vailleurs transforment les matières premières et les produits finis forme de contraintes (règles juridiques, normes sociales,
en utilisant les équipements et les machines [4]. Ce process de pro- commandes...). Le système « entreprise » pourra à son tour réagir
duction a sa contrepartie économique sous forme monétaire. sur son environnement en émettant des flux sortants (rémunéra-
tions, produits finis, savoir-faire, investissement...). Ces échanges
Ce qui est le plus intéressant, ce sont les modifications que lui permettent d’atteindre sa (ou ses) finalité(s) et ce en maintenant
ces interactions vont créer, couramment appelées les sa structure et, éventuellement, en l’améliorant ;
« propriétés émergentes » [5]. Ces dernières témoignent de la – relationnel : en effet, l’entreprise utilise une grande variété de
capacité des systèmes à « créer » à partir de la simple associa- composants ou d’éléments possédant des fonctions spécialisées.
tion ou combinaison d’éléments organisés entre eux. Ces éléments sont reliés les uns aux autres par une grande variété
de liaisons, chacun étant plus ou moins connecté à toutes les
autres avec des liens hiérarchiques différents. Il en résulte une
Les interactions peuvent avoir deux grands types d’effets sur le
haute densité d’interconnexion ;
système :
– englobant : c’est-à-dire que le système analysé peut être
– une modification des caractéristiques quantitatives de certains lui-même considéré comme un élément d’un système aux
éléments, qui sont alors qualifiés de « modifiables » ; frontières plus vastes. L’ensemble des éléments constitutifs de
– une apparition ou disparition de caractéristiques qualitatives de l’entreprise, aussi bien ses services, que le découpage
certains éléments, qui sont alors qualifiés de « transformables ». homme-machine-monnaie sont organisés et s’englobent les uns
Ces éléments sont organisés, à travers l’organisation ou le dans les autres. Chaque fonction peut constituer un sous-système
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
management de l’entreprise qui est représenté par ses divers en lien avec les autres, de dépendance plus ou moins forte, afin de
départements ou services, et les réseaux de communication qui les constituer un « tout » spécifique à l’entreprise ;
relient. C’est l’organisation des éléments qui permet l’atteinte du – varié : en effet, l’entreprise peut revêtir de multiples
but ou de la finalité du système. configurations ou états qui témoignent de ses évolutions, soit stra-
tégiques, soit par les modifications de son environnement. Cette
■ L’organisation de l’entreprise se retrouve également au niveau
variété permet au système de s’adapter en permanence en
du découpage hiérarchique. C’est lui qui va permettre les transfor-
s’auto-organisant pour maintenir sa stabilité organisationnelle et
mations des instructions venant du chef d’entreprise et de son
fonctionnelle. Cette adaptabilité va dépendre des types de liaisons
équipe en actions concrètes sur le terrain engageant des moyens
entre les éléments et de la variété de ceux-ci ;
humains, matériels et financiers.
– auto-organisateur : les activités et le comportement global de
Tous ces éléments sont organisés en fonction d’un but qui est l’entreprise évoluent dans le temps pour répondre aux différentes
double dans le cas d’une entreprise : contraintes et évolutions de son environnement. Cette régulation
– produire des biens ou des services destinés aux marchés afin n’est pas totalement déterminée par l’extérieur, elle s’effectue par
de satisfaire les besoins de ses clients ; l’entreprise elle-même (et selon sa propre volonté) en fonction des
– créer de la richesse en générant par sa croissance propre un objectifs qu’elle s’est fixée (en réponse à sa politique générale).
surplus de valeur monétaire. Elle est donc capable de résister et de s’adapter aux changements.
Il se crée des propriétés nouvelles à la suite de rétroactions
■ L’entreprise en tant que système peut donc être caractérisée par : positives (le « plus » engendre le « plus ») et/ou négatives
– son environnement (tout ce qui entoure l’entreprise) : les objets (comportement adaptatif qui permet de garder l’ordre intérieur et
différents de l’entreprise (tels que son environnement naturel, géo- les objectifs à atteindre).
méthodes comme l’Analyse des modes de défaillance, de leurs [25]) s’est avérée être la démarche la plus appropriée pour étudier
effets et de leur criticité (AMDEC) ou l’HAZard OPerability (Hazop) les systèmes complexes. Elle permet une approche macroscopique
ont alors eu pour objectif de rechercher toutes les défaillances, pan- des systèmes dans leur contexte général et de manière transver-
nes, et leurs combinaisons qui peuvent compromettre la sûreté de sale. Elle a notamment l’avantage d’appréhender les systèmes :
fonctionnement du système. De nombreux ouvrages présentent ces
méthodes couramment utilisées ([19] [20] [21] [22] [30]). – de manière globale. Elle considère le système étudié comme un
tout, elle cherche à étudier les relations entre les éléments et les
■ En bref, les méthodes se distribuent autour de deux concepts sous-systèmes qui peuvent conduire à des propriétés émergentes ;
qui sont les démarches « inductives » ou « déductives ». – en tenant compte ainsi de son environnement. Elle considère
le système étudié dans son contexte et s’attarde sur l’étude des
• La démarche inductive oriente le raisonnement du particulier interactions qu’il entretient avec son environnement ;
au général en étudiant de façon détaillée les effets d’une
– avec une approche transdisciplinaire. Elle conduit à prendre en
défaillance identifiée sur le système lui-même et son environne-
compte plus de variables que d’autres approches et nécessite pour
ment (comme par exemple : l’analyse des modes de défaillances et
cela une ouverture des champs disciplinaires ;
de leurs effets, la méthode de la combinaison de pannes résu-
mées, la méthode de l’arbre des conséquences). – en tenant compte de leur dynamique. Elle insiste sur les trans-
formations des intrants en extrants qui ont lieu dans le système et
• La démarche déductive oriente le raisonnement du général au sur l’évolution du système dans le temps ;
particulier en supposant que le système est défaillant. Il faut – en fonction de ses finalités. Elle focalise l’analyse sur l’étude
rechercher toutes les causes pouvant conduire à cette défaillance. de ce qui est attendu par le système. Ce sont les finalités du sys-
La principale méthode déductive et la plus connue est l’Arbre des tème qui peuvent provenir de l’intérieur du système ou de son
défaillances. environnement.
L’approche consiste alors à élaborer des modèles plus proches mettent un décloisonnement des différentes fonctions. La méthode
de la réalité et donc capables de mieux appréhender la complexité se veut utilisable par l’ensemble des acteurs de l’entreprise et de
des systèmes en simulant leur comportement. Or, dans l’analyse manière transversale par l’utilisation de la cartographie des
de risques, la modélisation du système étudié joue un rôle primor- processus ;
dial. C’est le degré de finesse de la modélisation qui permettra à – une vision globale de l’entreprise. La méthode est basée sur
l’analyste de percevoir les causes possibles des dysfonction- une conception de l’entreprise en tant que système en l’abordant
nements du système étudié et ceci aussi bien sous l’angle tech- de manière globale à travers sa cartographie des processus et son
nique, économique, que social. découpage en cinq sous-systèmes ;
Cette modélisation plus proche du réel doit permettre à l’ana- – une vision de l’ouverture de l’entreprise. La méthode à travers
lyste de s’orienter vers une vision macroscopique, pour laisser aux l’étude de l’environnement de l’entreprise et de ses parties intéres-
experts la vision microscopique qui fera appel à toutes leurs sées focalise toute une partie de l’analyse sur l’identification des
compétences dans un second temps. L’analyste doit dans un pre- événements redoutés externes et leurs répercussions sur le sys-
mier temps aller à l’essentiel, c’est-à-dire que l’objectif principal tème entreprise. L’identification des conséquences des évé-
des analyses de risques globales doit être de prédire les princi- nements redoutés internes permet de prendre en compte
paux points faibles ou failles du système, et ce pour y remédier. également les interactions de l’entreprise sur son environnement ;
– une vision dynamique de l’entreprise. Cet aspect est abordé de
Nous voyons donc que l’approche systémique peut permettre de manière partielle par la méthode avec l’étape d’évaluation des évé-
remédier aux limites des méthodes classiques, qui sont le manque nements redoutés qui se base sur l’enchaînement des événements
de prise en compte de l’environnement, la focalisation sur des redoutés dans le temps. Notons qu’en tant que système complexe,
aspects spécifiques, une vision essentiellement technique. l’entreprise a un comportement difficilement prévisible. Cette
étape sert donc essentiellement à identifier les points les plus vul-
L’adoption d’approches plus globales et transdisciplinaires nérables du système (c’est-à-dire les événements redoutés nœuds
doit permettre d’appréhender la complexité des systèmes et influents) et non les accidents et les dérives qui vont se produire
industriels et de prévenir la réalisation des scénarii d’accident dans le système. Ce point a fait l’objet d’un développement métho-
aux causes multiples et variées. Les résultats de ces analyses dologique inspiré de travaux menés dans le domaine de l’analyse
doivent permettre ainsi d’effectuer des choix stratégiques les structurelle [31] ;
plus pertinents possibles basés sur une connaissance globale – une approche basée sur l’étude des finalités de l’entreprise.
des sources de danger et des vulnérabilités de l’entreprise. L’identification des événements redoutés est fonction de la
non-atteinte des finalités du système. L’objectif est de maîtriser les
facteurs pouvant mettre en péril l’entreprise, c’est-à-dire ceux qui
vont l’empêcher d’atteindre ses finalités (de répondre aux attentes
et besoins de ses parties intéressées).
2. Méthode pour
une approche systémique L’objectif de transversalité de la méthode nécessite un
décloisonnement des différents processus de l’entreprise. La
de l’analyse de risques mise en œuvre de cette analyse de risques, bien que conduite
sous la responsabilité d’une personne ressource (le gestion-
naire des risques), ne peut s’effectuer qu’en groupe multidisci-
Pour pallier le manque de transversalité des méthodes
plinaire afin que chacun apporte des compétences différentes.
existantes, nous proposons une nouvelle méthode pour une
approche globale de l’analyse de risques en entreprise. L’approche
proposée est inspirée de la méthode organisée systémique d’ana-
lyse des risques [31] et du modèle d’analyse des dysfonction- 2.2 Grandes étapes de la méthode
nements du système [26] pour la partie technique de l’analyse de
risques à travers, notamment, l’utilisation du modèle du processus Comme toutes les méthodes classiques, l’analyse globale des
de danger. Cette méthode intègre également l’étude des dysfonc- risques s’effectue selon les grandes étapes suivantes :
tionnements organisationnels et sociaux recherchés par les – analyse du système à étudier. Il est nécessaire d’analyser préa-
cindyniques [27]. lablement le système étudié afin de bien connaître ses activités et
ses finalités, sa structure et son environnement ;
Les cindyniques ou sciences du danger ont pour objectif de – identification des événements redoutés, pour trouver, recen-
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
rechercher les déficits systémiques cindynogènes des systèmes, ser et caractériser les événements redoutés ;
c’est-à-dire les déficits culturels, organisationnels et managé- – estimation – évaluation des événements redoutés. L’étape
riaux d’un système. Citons parmi ceux-ci la non-communication, d’estimation qui consiste classiquement à affecter des valeurs de
la dilution de responsabilités, l’absence d’un système d’exploi- probabilité d’occurrence et de gravité aux événements redoutés
tation du retour d’expérience, l’absence de formation. s’est avérée inutile en tant que telle dans l’approche globale d’ana-
lyse de risques que nous développons ici. Notre méthode préco-
nise de se baser sur l’étude des liens et des enchaînements
La méthode proposée ici est une adaptation des méthodes exis-
successifs entre les processus de danger.
tantes à une vision systémique de l’analyse de risques.
Les étapes de la méthode vont être présentées les unes après
les autres et illustrées par un extrait des résultats obtenus dans un
2.1 Apports d’une approche systémique centre hospitalier.
L’approche systémique appliquée à l’analyse de risques permet : 2.2.1 Analyse du système à étudier
– une vision transversale et transdisciplinaire de l’entreprise : la
préconisation d’un langage commun basé essentiellement autour Cette étape est indispensable pour fixer les limites du système
de la notion d’événement redouté « ...tout dysfonctionnement pou- et avoir une vision globale de son fonctionnement et de ses liens
vant engendrer des dommages sur une des missions d’un des pro- avec son environnement. Il va falloir alors analyser les cinq carac-
cessus de l’entreprise ou sur une de ses ressources ou sur son téristiques du système « Entreprise » :
environnement... » [23] et d’outils d’analyse communs tels que le – étude de son environnement. La modélisation de l’environne-
modèle du processus de danger et les modèles de l’entreprise per- ment de l’entreprise aboutit à un modèle externe de l’entreprise
Sphère
technique :
Environnement
technologique
Fluides et services
Biens et services
et innovation
Savoir-faire
Sphère Sphère
R è gl finis
politico- e
s u bv s , n o r m uits économique :
juridique : en t i o es Prod rvices
ns et se nt Marché
Pouvoirs
Arge économique
institutionnels Taxe es et financier
s, im ervic
pots s et s
... Entreprise Bien apitaux
C
M
es qu ain
ell a d
ur Ar lif 'œ
at e s, M ge iée uv
n i de et ain nt
r
s
ce nerg qu i ides s re
i l sa d'œ
ou é s l so ue vo u
ss et jet x, tiq ir vr
Re Re zeu ergé fa e
ire
a
g én
et
Sphère Sphère
environnementale : sociale :
Environnement Société civile
écologique
IV.4. Sources de danger liées aux matières et matériels D.5. Sources de danger liées à la fiabilité et la disponibilité
V. SPHÈRE ENVIRONNEMENTALE E. SOUS-SYTÈME ENVIRONNEMENTAL
V.1. Sources de danger liées aux événements naturels E.1. Sources de danger liées aux conditions de travail
V.2. Sources de danger liées à la météorologie E.2. Sources de danger liées aux infrastructures
V.3. Sources de danger liées aux risques biologiques E.3. Sources de danger liées aux lieux de travail
V.4. Sources de danger liées au risque d’incendie et au rayonnement
■ L’intérêt de cette méthode est double. Elle permet de : ■ Appliquée à l’analyse de risques, cette technique permet d’aider
les décideurs, en fonction de leurs attentes, à soit :
– hiérarchiser des processus de danger en s’affranchissant de
– sélectionner les processus de danger « nœuds », à savoir ceux
l’étape d’estimation des événements redoutés car, sur des proces-
issus de nombreux processus de danger et qui induisent égale-
sus de danger effectués à un niveau macroscopique de l’entre-
ment un nombre important d’autres processus de danger ;
prise, il est parfois difficile de déterminer un niveau de probabilité
– sélectionner les processus de danger les plus « influents »
d’occurrence ;
dans le système et donc qui induisent le plus de processus de dan-
– comprendre l’enchaînement des processus de danger en ger « fils » ;
s’affranchissant de la construction des arbres des défaillances. Ces – comprendre l’enchaînement entre les processus de danger qui
derniers devenant compliqués et difficilement lisibles quand le conduisent à un processus de danger considéré comme
nombre de processus de danger est important. « important » à maîtriser pour l’entreprise.
Méthode d’analyse
C.3. Méthodes
conjoncturelle inadaptée
Résultats de l’analyse
C.4. Données
conjoncturelle erronés
■ Les liens entre les processus de danger sont utilisés pour • L’utilisation d’un outil analytique mathématique qui est le
construire la matrice des liens directs, appelée également la calcul matriciel sert de base à cette méthode d’évaluation des évé-
« matrice des incidences ». nements redoutés. Un des objectifs de cette méthode d’évaluation
Il est donc possible d’agir, soit au niveau des causes ■ À partir de calculs sur les éléments de la matrice des liens
profondes pouvant conduire à l’accident (processus de danger directs, deux informations complémentaires peuvent être extrai-
les plus influents), soit au niveau des endroits clés du système tes. Elles sont décrites dans la ligne indiquée par Nbr. Lien et dans
(processus de danger nœuds). la colonne par Niv. Dep dans le tableau 7 :
– Niv. Dép. indique le niveau de dépendance. Il correspond pour
chaque processus de danger au nombre de processus de danger
dont ils sont les « fils » directs. Par exemple, le PdDxv est issu de
3. Illustration de la méthode : huit autres processus de danger donc Niv. Dep.PdDXV = 8. C’est le
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
Abus de monopole
Organisation Retards de livraison
Difficultés financières
Erreur humaine
Sph. Non respect des
I Fournisseurs Méconnaissance
Économique contrats
des problèmes
Fabrication de matériel
de la Nasa Matériel
non-conforme
Pression de respect
des coûts et délais
(non priorité à la qualité)
Fabrication de matériel
non-conforme
Livraison
Sph. Utilisation de matériel
VI Matériel Absence de contrôles de matériel Matériel
Technique non fiable
non-conforme
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
des fournisseurs
et sur le terrain
Erreur par manque
d’information
Autorisation
Stratégie
XIX Impératifs de lancement rapide d’envol
de la NASA
prématurée
Choix Impératifs de production et de
stratégiques respect des délais très élevés
Processus de validation
amputé
Processus Non prise en compte
de décision d’informations
sur les facteurs d’échec
et sur les problèmes
Absence de transparence
Dialogue
et de dialogue
Tableau 7 – Matrice des liens directs entre les processus de danger relatifs à l’explosion
de Challenger
XVIII
XXIII
Niv.
XVII
XXII
VIII
XIII
XIV
XVI
XIX
XXI
VII
XII
XV
XX
III
IV
VI
IX
XI
II
X
⇓ I Dep.
I 0 0 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 1* 0 0 0 2
II 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
III 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
V 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VI 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1
VII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
2*
VIII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1
*
IX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
1* 1* 2* 1* 1* 1*
X 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 6
* * * ** ** 1*
XI 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
1*
XIII 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 2
**
1*, 1* 1* 1*
XIV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4
1** * * *
1*
2*
**
1* 1* ** 1*
1* 1* *, 1*
XV 0 0 0 0 0 ** 0 0 0 0
**
0 **
**
0 0 0
1*
0 0 *, **, 8
**
* * 1* 1
**
**
*
1*
**
1* 1* 1*
*, 1*
XVI 0 0 0 0 0 0 ** ** ** 0 0 0 0 0 0 0 0 0 0 0 0 5
1* *
* * *
**
*
1*,
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
1* 1* 1* 1* 1* 1*
XVII 0 0 0 0 0 0
* * *
1** 0 0 1* 0 0 0 0 0 0 0
* ** *
8
*
1* 1* 1*
XVIII 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 4
** ** **
1*
1* **,
XIX 0 0 0 0 0 0 0 0 0 1** 0 0 0 0 0 0 0 0 0 0 0 3
** 1*
*
1* 1*, 1*
XX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3
* 2** *
XXI 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 0 1
XXII 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 0 1
XXIII 0 0 0 0 0 0 0 0 0 1* 0 0 0 0 0 0 0 0 0 0 0 0 0 1
Nbr
liens
2 1 1 1 1 1 2 2 2 9 4 4 2 2 1 0 1 1 1 1 4 3 4 50
XVIII
XXIII
⇒
XVII
XXII
Niv.
VIII
XIII
XIV
XVI
XIX
XXI
VII
XII
XV
XX
III
IV
VI
IX
XI
II
X
I
⇓ Dep.
I 1 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 3
II 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
III 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
V 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VI 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0 0 0 2
VII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VIII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
X 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XI 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XIII 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XIV 0 1 1 1 0 0 0 0 0 3 1 1 0 0 0 0 1 0 0 0 0 0 0 9
XV 1 0 0 0 0 0 0 0 0 6 1 0 0 1 0 0 0 0 0 0 2 1 2 14
XVI 0 0 0 0 1 1 0 0 0 1 2 1 1 1 0 0 0 1 0 0 1 1 1 12
XVII 0 1 1 1 1 0 0 0 0 4 2 1 0 0 0 0 1 0 0 0 0 0 0 12
XVIII 0 1 1 1 0 0 0 0 0 3 1 1 0 0 0 0 1 0 0 0 1 1 1 12
XIX 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XX 0 1 1 1 0 0 0 0 0 0 1 2 0 0 0 0 1 0 0 1 0 0 0 8
XXI 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XXII 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
XXIII 0 1 1 1 0 0 0 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 6
Nbr
liens
2 9 9 9 2 1 1 1 1 19 13 13 2 2 0 0 9 1 0 2 5 4 5 110
XVIII
XXIII
XVII
XXII
Niv.
VIII
XIII
XIV
XVI
XIX
XXI
VII
XII
XV
XX
III
IV
VI
IX
XI
II
X
I
⇓ Dep.
I 0 1 1 1 0 0 0 0 0 0 1 2 0 0 0 0 1 0 0 1 0 0 0 8
II 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
III 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IV 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
V 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VI 1 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 3
VII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
VIII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
IX 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
X 0 1 1 1 1 0 0 0 0 4 2 1 0 0 0 0 1 0 0 0 0 0 0 12
XI 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XII 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
XIII 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XIV 0 3 3 3 0 0 1 1 1 1 3 3 1 0 0 0 3 0 0 0 1 1 1 26
XV 0 6 6 6 0 0 0 0 0 6 6 7 0 0 0 0 6 0 0 1 1 1 1 47
XVI 1 1 1 1 0 0 0 0 0 6 2 1 0 1 0 0 1 0 0 0 2 1 2 20
XVII 0 4 4 4 0 0 1 1 1 1 4 4 1 0 0 0 4 0 0 0 1 1 1 32
XVIII 0 3 3 3 0 0 1 1 1 4 3 3 1 0 0 0 3 0 0 0 1 1 1 29
XIX 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XX 1 0 0 0 0 0 1 1 1 2 0 1 1 0 0 0 0 0 0 0 1 1 1 11
XXI 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XXII 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
XXIII 0 0 0 0 0 0 1 1 1 1 0 0 1 0 0 0 0 0 0 0 1 1 1 8
Nbr
3 19 19 19 1 0 9 9 9 30 21 23 9 1 0 0 19 0 0 2 12 11 12 228
liens
sur le premier niveau de liens, soit le deuxième, soit le troisième, Elles ont des champs d’application limités qui ne permettent pas
soit le quatrième. Plus le niveau de liens est élevé, plus les actions des visions globales des systèmes. Or, les entreprises sont des
sont menées sur des causes profondes. systèmes complexes nécessitant des analyses avec des visions
systémiques.
■ L’application complète de la méthode d’évaluation des événe-
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
ments redoutés, dans le cas de l’explosion de la navette Face à ce constat, et pour répondre à la demande de mise en
Challenger, nous a permis de conclure que cette approche par le œuvre d’analyse de risques a priori, de manière globale et trans-
calcul matriciel permet bien de mettre en évidence l’ensemble des versale, la méthode présentée précédemment a été développée.
processus de danger qui peuvent conduire à un événement Cette méthode est inspirée des Cindyniques [26] et de la méthode
redouté précis (dans notre cas, l’explosion de la navette). Ceci organisée systémique d’analyse des risques (Mosar) [31] utilisées
n’est vrai que dans la mesure où les processus de danger ont été dans le domaine de la sécurité industrielle. Elle intègre à l’analyse
identifiés correctement et de manière préalablement exhaustive. des sources de danger techniques celles issues de l’organisation
Elle permet également de bien identifier les processus de danger, de l’entreprise, de ses ressources sociales et économiques, mais
les plus influents dans le système, ce qui équivaut à déterminer les également de son environnement, aussi bien naturel, que poli-
points de vulnérabilités les plus importants. tico-juridique, social, économique et technique, afin de tenir
compte de l’ensemble des événements redoutés.
Pour une approche globale et transversale dans l’analyse de
risques, la méthode proposée repose sur les trois étapes suivantes :
4. Conclusion – l’analyse du système. À partir des cinq caractéristiques d’un
système par l’étude : de son environnement modélisé par cinq
Les méthodes d’analyse de risques proposées à l’heure actuelle sphères, de sa structure modélisée par cinq sous-systèmes, de ses
s’appuient sur des visions cartésiennes et partielles des systèmes, finalités déterminées par les attentes et besoins des parties inté-
par exemple les méthodes issues de la sûreté de fonctionnement ressées, de son activité modélisée par sa cartographie des proces-
telles que les arbres de défaillance et sont basées essentiellement sus et de son évolution par la recherche des dysfonctionnements
sur une étude des dysfonctionnements techniques du système. passés ;
– l’identification des événements redoutés. Recensement des L’outil de base de la systémique, qui est le modèle, est notam-
sources de danger potentielles à partir de listes indicatives, déter- ment utilisé à travers le modèle du processus de danger. Les liens
mination et analyse des événements redoutés associés à partir du entre les différents processus de danger montrent que les éléments
modèle du processus de danger simplifié (inspiré de Mosar) ; du système sont liés les uns aux autres : si un des paramètres se
– l’estimation – évaluation des événements redoutés. Exploita- modifie, tout le système peut être amené à changer. Malgré cette
tion des liens entre les différents processus de danger identifiés prise en compte de la dynamique au niveau de l’étape d’évaluation
(pouvant conduire à la réalisation d’un accident) à travers d’un des événements redoutés, la méthode ne permet pas de connaître
modèle mathématique reposant sur le calcul matriciel, afin de précisément comment le système va évoluer dans le temps. Le
déterminer les différents scénarii et les événements redoutés les dynamique des systèmes, une des caractéristiques essentielles des
plus influents du système. systèmes complexes [32] n’est que partiellement prise en compte.
Des travaux restent donc à entreprendre pour tenir compte de cet
La méthode proposée est une application concrète de la vision
aspect. L’activation successive des sources de danger et la maîtrise
systémique à l’analyse de risques dont le but est de tenter de
des conditions initiales par l’intégration de vecteurs d’état peuvent
comprendre comment un système socio-technique réagit en fonc-
être une des pistes de réflexions futures.
tion de ses éléments et par rapport à son environnement. Pour cela,
un des objectifs de cette méthode est de permettre un décloison-
Cette méthode tente donc d’appréhender la complexité des
nement des fonctions de l’entreprise en proposant à l’ensemble des
entreprises. Mais est-il possible de maîtriser la complexité des
acteurs un langage et des outils communs pour l’analyse des évé-
systèmes ? La notion de complexité ne sous-entend-elle pas la
nements redoutés. Les décideurs peuvent alors prendre des déci-
notion de comportement imprévisible ? Nous avons donc une
sions en toute connaissance de cause par rapport aux faiblesses et
méthode avec des outils qui tentent de se rapprocher de la réalité
contraintes rencontrées par leur entreprise.
sans jamais l’atteindre d’où la difficulté de prévoir l’avenir.
La méthode utilise tout de même une approche sectorisée et
plus cartésienne lors de la mise en œuvre de l’analyse du système.
L’analyse de risques a priori n’est donc pas forcément un
Cela se traduit par l’étude des sphères et des processus de l’entre-
prise les uns après les autres et par une identification des sources outil performant pour prévoir les accidents qui vont se pro-
duire. Par contre, c’est un outil particulièrement bien adapté et
de danger famille par famille. Le but est de tendre vers l’exhausti-
vité et l’objectivité de l’analyse, ce que les approches systémiques intéressant pour identifier les sources de danger les plus
influentes dans le système, celles où la mise en place de bar-
ne prétendent pas atteindre. Nous avons donc adapté nos façons
rières de sécurité auront le plus d’importance pour maintenir
cartésiennes de travailler à une approche globale tournée vers une
vision systémique du système étudié. la sécurité du système.
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253
P
O
U
Étude systémique de l’analyse R
de risques
E
Présentation d’une approche globale N
[2]
AFNOR, 49 p., 3e trimestre (2003).
DE ROSNAY (J.). – Le macroscope – Vers une
Associations. – Cadre de référence de la ges-
tion des risques (2005).
[25] WATZALWICK (P.) et WEAKLAND (J.H.). –
Sur l’intervention – Palo Alto 1965-1974 : Une
nouvelle approche thérapeutique. Le Seuil,
P
vision globale. Éditions du Seuil, 346 p., fév.
1975.
[15] Agence Espagnole de Normalisation. – UNE
81900 : 1996 : Prévention des risques au tra-
vail – Règles générales pour la mise en œu-
[26]
560 p., déc. 2003.
LESBATS (M.), DOS SANTOS (J.) et PERIL- L
[3] CONSO (P.) et HEMICI (F.). – L’entreprise en HON (P.). – Contribution à l’élaboration d’une
20 leçons – Stratégie, gestion, fonctionne-
ment. Dunod, 3e édition, 459 p., sept. 2003.
vre d’un système de gestion des risques pro-
fessionnels (1996).
science du danger. École d’été « Gestion
scientifique du risque » (1999). U
[16] British Standard. – BS 8800 : 1996 : Guideli- [27] KERVERN (G.Y.). – Éléments fondamentaux
[4] DONNADIEU (G.). – Manager avec le social –
L’approche systémique appliquée à l’entre-
prise. Éditions Liaisons, 423 p., sept. 1997.
nes for implement the occupational health
and safety management (1996).
des Cindyniques. Économica, 111 p., janv.
1995.
S
[5] MORIN (E.). – Comprendre la complexité – In- [17] Organisation Internationale du Travail (OIT). [28] GODET (M.). – Manuel de prospective straté-
troduction à la méthode d’Edgar Morin. – ILO-OSH 2001 : Principes directeurs gique T2 – L’art et la méthode. Dunod, 376 p.
L’Harmattan, 206 p., août 2002. concernant les systèmes de gestion de la sé- (1997).
curité et de la santé au travail (2002).
[6] Association pour les Pratiques du Dévelop-
pement Durable.. – Le développement dura- [18] Australian and New Zealand Standard. – HB
Dans les Techniques de l’Ingénieur
ble dans mon entreprise – Fiches de sensibi- 231 : 2000 : Information security risk mana-
lisation destinées aux PME. gement guidelines (2000).
[29] VAUTIER (J.F.). – Systèmes complexes – Pré-
[7] DONNADIEU (G.), DURAND (D.), NEED (D.), [19] VILLEMEUR (A.). – Sûreté de fonctionnement sentation générale. [AG 1 500] (2001).
NUEZ (E.) et SAINT PAUL (L.). – L’approche des systèmes industriels. Collection de la Di-
systémique : de quoi s’agit-il ? Synthèse des [30] QUENIART (D.). – Analyse de sûreté : princi-
rection des Études et Recherches d’Électricité
travaux du groupe AFSCET, sept. 2003. pes et pratiques. [B 3 810] (1996).
7 - 2008
[8] VON BERTALANFFY (L.). – General System [31] PERILHON (P.). – Méthode d’analyse de ris-
[20] Institut National de l’Environnement Indus- que MOSAR – Présentation générale.
Theory. New York (1968). triel et des Risques. – Outils d’analyse des ris- [SE 4 060] (2003).
[9] DURAND (D.). – La systémique. Que sais-je ? ques générés par une installation indus-
trielle. Direction des Risques Accidentels, [32] KARSKY (M.). – Dynamique des systèmes
PUF, 126 p., fév. 1994.
mai 2003. complexes – Concepts et méthodologie.
[10] DONNADIEU (G.) et KARSKY (M.). – La sys- [AG 1 565] (2004).
Doc. AG 1 585
témique, penser et agir dans la complexité. [21] DESROCHES (A.), LEROY (A.) et VALLEE (F.). [33] MORTUREUX (Y.). – Arbres de défaillance,
Éditions Liaisons, 269 p., sept. 2004. – La gestion des risques – principes et prati- des causes et d’évènement. [SE 4 050]
[11] International Standard Organisation. – ques. Germes Lavoisier, 286 p., fév. 2003. (2002).
Guide ISO/CEI 73 : Management du risque – [22] TIXIER (J.), DUSSERRE (G.), SALVI (O.) et
Vocabulaire – Principes directeurs pour l’uti- GASTON (D.). – Review of 62 risk analysis
lisation dans les normes (2002). methodologies of industrial plants. Journal En complément de lecture
[12] Occupational Health and Safety Assessment of Loss Prevention in the Process industries,
Series. – Norme OHSAS 18001 – Système de vol. 15, Issue 2, p. 291-303, mars 2002. HANSEN-GLIZE (). – Maîtrise des crises. [SE 1 060]
gestion de la santé et de la sécurité au travail. (2008).
[23] DASSENS (A.). – Méthode pour une appro-
OHSAS (1999).
che globale de l’analyse de risques en entre- ANDEOL () et MORVAN (). – Prévention des risques
[13] Association pour le Management des Ris- prise. Rapport de thèse Université de Haute professionnels – Concepts fondamentaux.
ques et des Assurances de l’Entreprise. – La Alsace, 280 p., fév. 2007. [SE 3 824] (2008).
O
U Organismes
(Liste non exhaustive)
R
• AENOR, agence espagnole de normalisation • FERMA, fédération des associations européennes de gestion du risque
http://www.aenor.es http://www.ferma-asso.org/
• AFSCET, association française de Science des systèmes • INERIS, institut national de l’environnement industriel et des risques
http://www.afscet.asso.fr/
E • AGORA 21, portail d’informations sur le développement durable
http://www.agora21.org/
http://www.ineris.fr/
• ISO, International Standard Organisation
http://www.iso.org/
N • AMRAE, association pour le management des risques et des assurances de
l’entreprise
http://www.amrae.fr/
• OHSAS, Occupational Health and Safety Assessment Series
http://www.ohsas.org/
• ARIA, base de données du bureau d’analyse des risques et pollutions
industrielles • OIT, organisation internationale du travail
http://aria.ecologie.gouv.fr/ http//www.ilo.org/
A
V
O
I
R
P
L
U
S
Ce document a été délivré pour le compte de 7200048361 - ensib // 195.221.38.253